Gogs 远程命令注入漏洞(CVE-2024-56731)预警
1、基本情况
Gogs 是一个轻量级、易于使用和定制的自托管 Git 服务,可以在多个操作系统上运行,它提供了 Web 界面来管理 Git 仓库、团队成员、权限等,并支持代码审核、问题跟踪、Wiki、持续集成等功能。
近日,监测发现 Gogs 存在远程命令注入漏洞(CVE-2024-56731),由于.git 文件系统接口因权限控制缺失存在文件目录非法操作的安全缺陷,攻击者可构造请求删除.git 目录下的文件覆写相关敏感配置并实现远程命令执行控制服务器,威胁用户数据和系统的安全。
建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ Gogs < 0.13.3
3、处置建议
目前漏洞已经修复,受影响用户可安装最新版本补丁。
下载地址:https://github.com/gogs/gogs/releases/tag/v0.13.3
4、参考链接
1) https://github.com/gogs/gogs/releases/tag/v0.13.3